区块链安全问题应该怎么解决？

高分请教一下，区块链安全问题应该怎么解决？

最新回答

战天傲刃

2024-10-30 08:16:25

区块链项目（尤其是公有链）的一个特点是开源。通过开放源代码，来提高项目的可信性，也使更多的人可以参与进来。但源代码的开放也使得攻击者对于区块链系统的攻击变得更加容易。近两年就发生多起黑客攻击事件，近日就有匿名币Verge（XVG）再次遭到攻击，攻击者锁定了XVG代码中的某个漏洞，该漏洞允许恶意矿工在区块上添加虚假的时间戳，随后快速挖出新块，短短的几个小时内谋取了近价值175万美元的数字货币。虽然随后攻击就被成功制止，然而没人能够保证未来攻击者是否会再次出击。
当然，区块链开发者们也可以采取一些措施
一是使用专业的代码审计服务，
二是了解安全编码规范，防患于未然。
密码算法的安全性
随着量子计算机的发展将会给现在使用的密码体系带来重大的安全威胁。区块链主要依赖椭圆曲线公钥加密算法生成数字签名来安全地交易，目前最常用的ECDSA、RSA、DSA 等在理论上都不能承受量子攻击，将会存在较大的风险，越来越多的研究人员开始关注能够抵抗量子攻击的密码算法。
当然，除了改变算法，还有一个方法可以提升一定的安全性：
参考比特币对于公钥地址的处理方式，降低公钥泄露所带来的潜在的风险。作为用户，尤其是比特币用户，每次交易后的余额都采用新的地址进行存储，确保有比特币资金存储的地址的公钥不外泄。
共识机制的安全性
当前的共识机制有工作量证明（Proof of Work，PoW）、权益证明（Proof of Stake，PoS）、授权权益证明（Delegated Proof of Stake，DPoS）、实用拜占庭容错（Practical Byzantine Fault Tolerance，PBFT）等。
PoW 面临51%攻击问题。由于PoW 依赖于算力，当攻击者具备算力优势时，找到新的区块的概率将会大于其他节点，这时其具备了撤销已经发生的交易的能力。需要说明的是，即便在这种情况下，攻击者也只能修改自己的交易而不能修改其他用户的交易（攻击者没有其他用户的私钥）。
在PoS 中，攻击者在持有超过51%的Token 量时才能够攻击成功，这相对于PoW 中的51%算力来说，更加困难。
在PBFT 中，恶意节点小于总节点的1/3 时系统是安全的。总的来说，任何共识机制都有其成立的条件，作为攻击者，还需要考虑的是，一旦攻击成功，将会造成该系统的价值归零，这时攻击者除了破坏之外，并没有得到其他有价值的回报。
对于区块链项目的设计者而言，应该了解清楚各个共识机制的优劣，从而选择出合适的共识机制或者根据场景需要，设计新的共识机制。
智能合约的安全性
智能合约具备运行成本低、人为干预风险小等优势，但如果智能合约的设计存在问题，将有可能带来较大的损失。2016 年6 月，以太坊最大众筹项目The DAO 被攻击，黑客获得超过350 万个以太币，后来导致以太坊分叉为ETH 和ETC。
对此提出的措施有两个方面：
一是对智能合约进行安全审计，
二是遵循智能合约安全开发原则。
智能合约的安全开发原则有：对可能的错误有所准备，确保代码能够正确的处理出现的bug 和漏洞；谨慎发布智能合约，做好功能测试与安全测试，充分考虑边界；保持智能合约的简洁；关注区块链威胁情报，并及时检查更新；清楚区块链的特性，如谨慎调用外部合约等。
数字钱包的安全性
数字钱包主要存在三方面的安全隐患：第一，设计缺陷。2014 年底，某签报因一个严重的随机数问题（R 值重复）造成用户丢失数百枚数字资产。第二，数字钱包中包含恶意代码。第三，电脑、手机丢失或损坏导致的丢失资产。
应对措施主要有四个方面：
一是确保私钥的随机性；
二是在软件安装前进行散列值校验，确保数字钱包软件没有被篡改过；
三是使用冷钱包；
四是对私钥进行备份。

♂请叫我包子﹌

2024-10-30 10:20:43

这个问题一直是区域链比较薄弱的地方，现在很多挖矿木马都因其存在安全漏洞趁虚而入。我也在不同的地方挖矿，上次不幸中了挖矿木马只好用腾讯电脑管家查杀了，之后一直在用这个的安全防护功能就没有再出现这种问题了。

鸿笺钟书

2024-10-30 10:49:25

你指的哪方面？是个人隐私还是数据安全还是

有奶便是娘

2024-10-30 09:32:39

当然是预先进行代码审计了。
随着区块链行业的发展，项目如雨后春笋般应运而生，但是在大力开拓新项目的同时，很多人没有注意到代码审计这一块，那么什么是代码审计呢？所谓代码审计，就是检查源代码的安全缺陷，检查程序源代码是否存在安全隐患，或者编码不规范的地方。那么代码审计有什么作用呢？

据统计，2018年全球区块链领域发生近百起安全事件，损失超20亿美元，相较于2017年增长了538%。比特币的底层技术“区块链”面临着来自数据层、网络层、共识层、激励层、合约层、应用层的安全风险，安全攻击方式层出不穷，防不胜防。安全攻击主要发生在应用层，其中智能合约是区块链安全的重灾区。

而且还发生了很多的安全事件，影响较大的例如MtGox事件，MtGox是当时全球最大比特币交易平台，处理的比特币交易占全球70%。2014年，MtGox遭遇了最严重的黑客攻击，随后MtGox宣布暂停交易，理由是其安全软件存在漏洞。两周后，网站突然关闭，MtGox申请破产。

据MtGox估计，公司的比特币投资损失约合4.8亿美元，其中包括客户的75万单位比特币和公司自己持有的10万单位，合计约占全球比特币发行量的7%。此次事件导致投资者信心受挫，比特币直接暴跌36%。

还有非常多别的项目同样受到巨大的损失，仔细研究不难发现：在区块链的安全事件中，大多都是由于源代码存在漏洞而使黑客趁虚而入。智能合约受到区块链本身保护，所以智能合约代码可以最大限度的开源和让人阅读。但是代码的公开性使得黑客容易掌握代码的缺陷，进一步利用代码缺陷触发条件改变智能合约执行结果，使得区块链项目存在巨大的经济隐患。所以智能合约代码的开源性需要代码的高可靠性，这种可靠性要求100%的正确。

但是，对于程序员来说，写一个完全没有漏洞的代码实在是太难了，即使采取了所有可能的预防措施，在复杂的软件中也总会出现没有预料到的漏洞。所以，代码审计的重要性不言而喻。

通过代码审计，检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

目前已经服务的有交易所、钱包、公链和智能合约等代码审计，为区块链行业保驾护航，合作的慢雾科技，Certik等全球知名审计公司，我们有着优质的服务满足客户的需求，欢迎合作伙伴合作交流，共同探讨！

我要回答

匿名回答

区块链安全问题应该怎么解决？

您可能感兴趣问答

Collapsible

热门标签

热点问答